Девон О'Брайен (Devon O'Brien) из команды, отвечающей за безопасность браузера Chrome, объявил (https://groups.google.com/forum/#!topic/mozilla.dev.security...) о намерении компании Google заблокировать промежуточные сертификаты DarkMatter в браузере Chrome и платформе Android. Также планируется отклонить заявку на включение корневого сертификата DarkMatter в хранилище сертификатов Google. Напомним, что ранее аналогичное решение было принято (https://www.opennet.ru/opennews/art.shtml?num=51065) компанией Mozilla. Google согласился с высказанными представителями Mozilla доводами и посчитал имеющиеся претензии к DarkMatter достаточными.Напомним, что основные аргументы против DarkMatter сводятся к журналистским расследованиям (Reuters (https://www.reuters.com/investigates/special-report/usa-spyi.../), EFF (https://www.eff.org/deeplinks/2019/02/cyber-mercenary-groups...), The New York Times (https://www.nytimes.com/2019/03/21/us/politics/government-ha...)), сообщающим о причастности DarkMatter к операции "Project Raven", проводимой спецсужбами Объединённых Арабских Эмиратов для компрометации учётных записей журналистов, борцов за права человека и иностранных представителей. DarkMatter заявляет, что информация не соответствует действительности и уже отправила (https://groups.google.com/forum/#!topic/mozilla.dev.security...) апелляцию, которую представители Mozilla приняли (https://groups.google.com/d/msg/mozilla.dev.security.policy/...) для рассмотрения.
URL: https://groups.google.com/forum/#!topic/mozilla.dev.security...
Новость: https://www.opennet.ru/opennews/art.shtml?num=51159
Демократия защищена
Ребята занимаются взломом систем за деньги и удивляются почему их сертификатам не доверяют.
Нихрена себе наглость.
то ли дело честнейшие ребята из гуглезилы, просто собирающие информацию, в том числе о каждом заходе на каждый попавший в силки летсшиткрипта сайт. Им верим, верим! (и ни одна журнашлюха даже и не пискнула - ну, понятен, там в технологии надо разбираться, откуда у этих альтернативно-одаренных трансгендеров на то ума возьмется)Сколько там уже - 40% или больше? 36 было еще до уничтожения симантека.
Гугл занимается сливом спецслужбам всего, что есть на андроидах (кто, где, когда...), надо ли удивляться?
И эти спецслужбы (АНБ) гнобят россиян в России (гы-гы-гы)
Эти спецслужбы загнали всех в логическую яму. Безопасность нужна? Нужна. Безопасность основывается на доверии? На доверии. А кто может быть доверенным? Определённые центры (конечно же н один, иначе не безопасно же) удостоверяют доверенную безопасность. И вуаля, включая и отключая центры ты можешь рулить информацией, какая хорошая, а какая - ну-ну-ну, от недоверенных. Это просто ещё один кирпичик незаметного давления на умы.
> Эти спецслужбы загнали всех в логическую яму.нет, альтернативно-одаренные разработчики мурзилохрома. В спецслужбах таких не требуется, зачем платить "полезным идиотам", когда они и так все для тебя делают, добровольно и с песней?
> Безопасность нужна? Нужна.
не всем, не всегда, и не от всех.
Поэтому пихание https в каждую дырку - ненужно. Учитывая его уродливость и ненадежность by design, не говоря уже про совершенно ненужные и высосанные из пальца улучшизмы по сливу твоих данных кому попало - его вообще надо избегать где только можно.
> Безопасность основывается на доверии? На доверии.
но совершенно незачем вовлекать в цепочку доверия посторонних без _крайней_ необходимости.
"во-первых, об этом, конечно же, будет знать китаец!"Во многих случаях этого вполне и достаточно - если я уже двадцать раз пользовался именно этим сертификатом, мне не нужны подписи каких-то левых "авторитетных" пацанов на нем. А если он изменился - я бы чисто на всякий случай как раз пацанам-то и в последнюю очередь бы поверил.
Но нет, для альтернативно-одаренных это слишком сложно, а вот невменяемая блоатварь, которой они даже пользоваться-то толком не умеют (выводя внутренние ошибки пользователю вместо внятных объяснений и внятных же способов обойти проблему) - это пожалуйста.
Разве в цепи доверия нет места своим сертификатам?
Все от модели угроз и ресурсов, которыми пользуешься
> Разве в цепи доверия нет места своим сертификатам?нет (если ты имеешь в виду свой CA). Разьве что ты готов ограничиться единственным специально-выделенным доменом, и никогда-никогда не иметь второго (тогда можно добавить constraints, как, собственно, арабу и предлагали - по понятным причинам его это нафиг не устраивало, у нас мильен с тыщами gtld ныне, в одном проекте легко могут использоваться пять штук)
У собственного CA ровно те же проблемы что и у официальных - давая его васяну (чо там - вот ссылка, клик- он и установился - для мазилы это действительно так) ты ставишь его в зависимость уже от своей собственной доморощенной безопастности. И одна-единственная галочка - либо доверяем, либо рыбу.С недоверенными сертификатами - проблема в неумении современных браузеров внятно описать пользователю проблему и запросить подтверждения. Напоминаю, что если невалиден сертификат не страницы, а отдельной ее части - современный браузер молча ее игнорирует, ничем не огорчая юзера и не оставляя тому возможности не то что вмешаться, а вообще понять проблему.
>зачем платить "полезным идиотам", когда они и так все для тебя делают, добровольно и с песней?Значит вы соврали, сказав что пользуетесь виндой.
Вон ниже Аноним пишет, что нужно пользоваться старыми версиями браузера. Значит пора ставить старые выпуски дистров.
так я и в винде могу запустить какую-нибудь мурзилу 3.6.38, сам же ее и собрав (даже, наверное, не будет больших проблем с несовместимостью с только-вчера-опять-обновившимся компилятором, VC таким не страдает) - только вот зайти, к примеру, на сайтик мэйлфорвардера (озаботившегося внезапно гуглокапчей) она мне не поможет. Хошь в линухе, хошь в винде...Ставь самую распоследнюю версию гуглозонда, или сиди без интернета в его современном виде - другого не предлагается.
>так я и в винде могу запустить какую-нибудь мурзилу 3.6.38, сам же ее и собравНичего себе, это вы молодец, что умеете такое.
>Ставь самую распоследнюю версию гуглозонда
Думаю лиса менее опасна чем зонд. Хотя она и состоит в сил.долине.
>или сиди без интернета в его современном виде - другого не предлагается.
Если вы умеете собирать, может вы и сами можете собрать браузер без зондов?
Представляю, есть же такие спецы, и браузер свой, и система своя.
>>Ставь самую распоследнюю версию гуглозонда
> Думаю лиса менее опасна чем зонд."а по-моему они - одинаковые!"(c) даже сливает той же GA.
> Если вы умеете собирать, может вы и сами можете собрать браузер без зондов?
нет, мне еще надо есть, спать и работу на работе иногда работать, а в сутках только 24 часа. И заметьте, речь не о зондах (которые повыпилить силами одного человека в свободное время - тоже в общем-то почти нерешаемая задача), а о вообще отсутствующей напрочь в современных версиях функциональности - ее методом cut&compile не сделаешь, ее придумать и написать надо.
> Представляю, есть же такие спецы, и браузер свой, и система своя.
нету. Дети миллиардеров, почему-то, такой фигней не интересуются, хотя у них нет проблем с есть, спать и получить нужное образование, или нанять кого-то который все это будет за них делать.
остальные вынуждены в той или иной степени жрать что дают, да еще и из того же материала собирать другим.
Как вас корёжит-то...
Выехали бы из Казахстана каким-то чудом... И, о сюрприз, кругом внезапно какие-то совершенно не заслуживающие вашего драгоценного доверия yблюдка подменённые буржуями сертификаты? >:-)
вроде можно и без центров доверия обходится в том же блокчейне.
Нет, пока только тех дурачков, которые вздумали спрятаться в разных гостеприимных странах на берегах тёплых морей.
Им там хорошо и без сертификатов
Гугл занимается сливом всего того что пользователи ему САМИ добровольно передали, а не того, что они ему НЕ передавали.
Разницу чувствуете?
араб тоже занимается тем же самым - ты установил гуглозонд - ты добровольно передал гуглю всю свою цифровую жизнь.
Ты открываешь сайты из подконтрольных арабским спецслужбам (или взломанных ими) сетей - ты добровольно передал арабам возможность подглядывать совместно с гуглем.Не нравится - эмигрируй в Антарктиду.
> Разницу чувствуете?
да, гугль - корпорация добра.
Гугель сливает всю информацию которая через него проходит, хочешь ты этого или нет, все запросы через браузер, просмотры на трубе, установленые приложения в ведроиде, даже если ты запретил сбор информации он всё равно её собирает. Обезличивание информации это разговоры в пользу бедных.
И куда же сливом? И где доказательства?
Есть только визги на русскочелюстных сайтах, что злой гугл их куда-то сливает. Я так понимаю, учитывая материал из которого сделаны визжащие, что в унитаз.
> Гугл занимается сливом всего того что пользователи ему САМИ добровольно передали, а не того, что они ему НЕ передавали.Разницу чувствуете?
Заценил тут давече обновления в Ян. приложениях. Одно как-то слитно с другим....
Но не тем спецслужбам, которые сажают и убивают людей за нарушение "норм ислама".
мы политкорректные и толерантные - заплатят те - сольем и тем!
Кредит под 0% на дороге не валяется!
Да, и правда, только за нарушение "норм демократии"
> Да, и правда, только за нарушение "норм демократии"Вы так это говорите, как будто бы в этом есть что-то плохое. Небось для _запрещённая в РФ организация_ втихую донаты шлёте?
Зачастую "нормы демократии" - просто ширма для прикрытия геополитических и коммерческих интересов США. Бывает, из-за этих интересов гибнут люди, и много, к сожалению. Ваш КО.
Племя Ы любит убивать иноплеменников просто так, в силу дикости натуры. Племя У делает это иногда и, в основном, за дело, хотя иногда ошибается, а вожди племени У могут вести грязные делишки. Кто, при прочих равных, лучше - племя Ы или племя У? Ответ "оба хуже" не принимается, по причине детсадовского характера. Следует указать меньшее из зол.
А зрение у Вас тоже черно-белое? Никаких других оттенков не видите?
> А зрение у Вас тоже черно-белое? Никаких других оттенков не видите?Повторяю ещё раз - "меньшее из зол", т.е. != "чёрное или белое". Поаккуратнее надо быть с метафорами, наследованием абстрактных классов и интерфейсами.
Есть и другие варианты - еще меньшие из зол.
> Есть и другие варианты - еще меньшие из зол.Тестами покрывал?
> Ответ "оба хуже" не принимаетсяА придётся. Отказ принимать ответ не принимается.
Непринятие отказа принимать ответ не принимается. Это реальная политика, а не мир розовых пони, детка.
Отказ от неприятия отказа не принимается. Оба племени одинаково заслуживают поголовного истребления (как, впрочем, и весь род людской).
Экстремист одна штука детектед. Может быть экоэкстремист, может быть просто психопат.
Чувствуется зонская школа. Странно только что вопрос про два стула с пиками точеными и эээ прочими причиндалами был так завуалирован.
> Чувствуется зонская школа. Странно только что вопрос про два стула с пиками
> точеными и эээ прочими причиндалами был так завуалирован.Да, сильно специфика национальной истории влияет на некоторых. Везде им зона мерещится.
Ну ты так не вертись-то ужом. Если на тебе специфика месторождения сказалась так что везде выбор двух стульев пихаешь... ну что делать. Пробуй переформулировать свои вопросы более завуалированно. А не про пики точены, или интеллигентный вариант вопроса - вы уже перестали пить коньяк по утрам?
> Ну ты так не вертись-то ужом.Переставай пить коньяк по утрам, а то у тебя в глазах всё время будет вертеться.
Как позорно слился. Впрочем как и всегда здесь в обсуждениях. Фантик ты.
> Племя Ы любит убивать иноплеменников просто так, в силу дикости натуры. Племя
> У делает это иногда и, в основном, за дело, хотя иногда
> ошибается, а вожди племени У могут вести грязные делишки. Кто, при
> прочих равных, лучше - племя Ы или племя У? Ответ "оба
> хуже" не принимается, по причине детсадовского характера. Следует указать меньшее из
> зол.Но Ислам -- это не просто так, в силу "дикости натуры".
А вот это ваше "дело" -- это как раз чистая ваша натура, жадность, алчность, похоть, голод...
Блyядь.
> Но Ислам -- это не просто так, в силу "дикости натуры".Неужели? :-)
>Гугл занимается сливом спецслужбам всего, что есть на андроидах (кто, где, когда...), надо ли удивляться?Прежде чем удивляться, было б неплохо ознакомиться с доказательствами. Да что там доказательства, для начала стоит определить, что подразумевается под словом «всего».
когда любой УЦ может выпускать сертификаты для любого домена - вся эта инфраструктура фиговый лист
Она изначально фиговый лист и профанация. Доверять можно только тому, кого ты знаешь. С кем при личной встрече обменялся ключами. Всё остальное - фуфло.
Таки оно так и работает ))
Иначе никак
так оно - не работает. В браузере в целом и в openssl в частности такого механизма просто не предусмотрено. И построить его на этих деталях - нельзя, только все выбрасывать и делать с нуля, руками.
Ну почему же, в библиотеку openssl вполне можно подать свой список сертификатов. Из своей программы, которая линкуется с openssl. Перелопачивать список сертификатов в браузере - непрактично, да.
> Ну почему же, в библиотеку openssl вполне можно подать свой список сертификатов.таки чем это тебе поможет? Проблема в ее неумении обрабатывать "ошибки" (которые на самом деле не ошибки, а несовпадение ее представлений о мире с реальностью) и предоставлять выбор приложению и через него - пользователю - причем эта проблема сидит на уровне разработчиков, героически выпиливающих "устаревшие" протоколы и шифры, помимо прочего.
Не говоря уже о том, что она дырява и крива от рождения - автор оригинальной ssleay вовсе не думал ни о какой безопасности, ему надо было "как-нибудь с юникс-системы приконнектиться к шифрованному серверу".
В мазиле все еще веселее, ибо поверх присвинячена nss, и это вообще ад, трэш и п-ц устаревший на 25 лет со своим собственным нескучным интерфейсом, которым умеют пользоваться (теоретически) только авторы мазилы.
> таки чем это тебе поможет?Например, есть у меня программа, которая коннектится ровно к одному серверу, и больше ей не нужно. И я могу openssl подать только те сертификаты (в том числе самодельные), которые нужны для проверки сертификата того сервера. И никакой Digicert или Comodo мне сертификат того сервера не подделает.
И, безотносительно того, поможет мне это или нет, я просто поправил твое утверждение "в openssl в частности такого механизма [как обмен ключами заранее, при личной встрече или по-другому] просто не предусмотрено". Да я могу вообще забить на все проверки openssl и сравнить серверный сертификат побитово с заранее полученным эталоном, если захочется. Ну, то есть конкретно это утверждение твое неверное. А другие может и верны. И общий посыл тоже правильный.
> Проблема в ее неумении обрабатывать "ошибки" (которые на самом деле не ошибки, а несовпадение ее представлений о мире с реальностью) и предоставлять выбор приложению и через него - пользователю - причем эта проблема сидит на уровне разработчиков
Ну вот видишь, сам же говоришь, что проблемы на уровне разработчиков (разработчиков браузеров, я так понимаю?), а не на уровне openssl. А openssl проверяет то, что согласно ее функционалу логично проверять и на тех данных, к которым у openssl есть доступ. Если хочется устроить проверки на данных, к которым openssl доступа не имеет - это другой код или другая библиотека должна делать.
> автор оригинальной ssleay вовсе не думал ни о какой безопасности, ему надо было "как-нибудь с юникс-системы приконнектиться к шифрованному серверу".
Вот эта информация откуда? Просто предположение?
> Например, есть у меня программа, которая коннектится ровно к одному серверу, и больше ей не
> нужно.замечательно, но у меня нет такой программы, а если бы и была - вряд ли я бы стал ради нее писать свой отдельный клиент.
Если сервер мой - скорее всего обернул бы траффик в туннель, и избавился от лишнего ненужно в виде openssl.
> "в openssl в частности такого механизма [как обмен ключами заранее, при личной встрече или
> по-другому] просто не предусмотрено". Да я могу вообще забить на все проверки opensslи написать свою заново - можешь, теоретически. Но детей твоих кто кормить все это время будет - штандартенфюрер?
Это и есть "не предусмотрено".> Ну вот видишь, сам же говоришь, что проблемы на уровне разработчиков (разработчиков браузеров,
> я так понимаю?),нет, они начинаются с разработчиков самой openssl. Вот включая их любовь в каждой новой версии решать за тебя, какими протоколами тебе "безопастно" пользоваться. Хотя это вообще не собачье дело низкоуровневой библиотеки.
И заканчивая ее интерфейсом - совершенно невменяемым, все эти закорючки внутренних макросов - они не только потому что разработчики браузеров такие козлы (хотя они да) а еще и потому, что она возвращает крайне мало или ноль информации и в неудобоприменимом формате.отчасти из-за этого мазила пилила свою libnss (правда, получилось как всегда)
> Если хочется устроить проверки на данных, к которым openssl доступа не имеет
наоборот - только она к ним доступ и имеет, если ты вообще планируешь ей пользоваться.
> Вот эта информация откуда? Просто предположение?
оттуда, что я застал и ssleay, и ее "документацию" (впрочем, у openssl много лет не было никакой вообще) и радостные письма разработчика "го, я создал, мы теперь можем https!"
> замечательно, но у меня нет такой программы,Ну, у тебя нет, а у других есть. :)
> а если бы и была - вряд ли я бы стал ради нее писать свой отдельный клиент.
Это не отдельный клиент, это то, как openssl в программах используется. Ты либо подаешь в openssl "системную конфигурацию", либо свой список сертификатов. A сия "системная конфигурация", в удобоваримом для openssl виде, не на всех ОС вообще-то присутствует. И подать свой список сертификатов - вообще-то не сложно.
> Если сервер мой - скорее всего обернул бы траффик в туннель, и избавился от лишнего ненужно в виде openssl.
Ага, а туннель у тебя сам собой образуется, без openssl или других средств шифрования и аутентификации. И сам настроится на всех клиентских устройствах на всех ОСях. Далеко не всегда туннель городить имеет смысл, не всегда это даже возможно.
> Но детей твоих кто кормить все это время будет - штандартенфюрер?
Очевидно, работодатель, для которого я ту програму и пишу. :)
> Ну, у тебя нет, а у других есть. :)ну я рад за вас, только вот мне браузер нужен, а не непонятная программа.
Во всех остальных случаях я предпочитаю без openssl'я.> Это не отдельный клиент, это то, как openssl в программах используется. Ты
> либо подаешь в openssl "системную конфигурацию", либо свой список сертификатов. Aну да, и что с того? (собственно, гуглезила свой список и подает, она ничего не знает ни о каких системных, наоборот - то что в линухе у вас считается "системным" - понатырено с ее исходников)
> ОС вообще-то присутствует. И подать свой список сертификатов - вообще-то не
> сложно.какую проблему он этим решит применительно к браузеру? То и оно - никакой.
> Ага, а туннель у тебя сам собой образуется, без openssl или других
без ненужного ssl-bloatware - да, разумеется. (нет, идея сертификатов как одного из средств авторизации мне в целом нравится, но реализация - ни к черту)
> средств шифрования и аутентификации.
так другие-то руками сделаны. А где опенссл - там сразу и начинается - ой уязвимость, ой не работает то, не работает это...
>> Но детей твоих кто кормить все это время будет - штандартенфюрер?
> Очевидно, работодатель, для которого я ту програму и пишу. :)ну рад за твоего работодателя, только нам бы - браузер.
Работодателей под них ровно два, оба г-но.Предположим даже, ты решился сделать форк. Объем работ и вообще как правильно надо работать с сертификатами без доверия к CA и возможностью для пользователя вмешаться на любом этапе - представляешь? Вот ровно об этом и шла речь.
> Предположим даже, ты решился сделать форк [браузера]. Объем работ и вообще как правильно надо работать с сертификатами без доверия к CA и возможностью для пользователя вмешаться на любом этапе - представляешь? Вот ровно об этом и шла речь.Так я с этим никогда и не спорил, даже сказал, что в целом посыл правильный. Зачем меня так активно убеждать в том, с чем я и так согласен - непонятно. :)
> и вообще как правильно надо работать с сертификатами без доверия к CA и возможностью для пользователя вмешаться на любом этапе - представляешь?
Вот, кстати, не представляю. Может расскажешь, как правильно? И чтобы взлетело в современном Интернете, чтоб масштабируемо было и т.д.? А то были разные попытки, типа Convergence, Monkeysphere, но как-то не взлетели.
> Вот, кстати, не представляю. Может расскажешь, как правильно?ну для начала - банально. тот же pkp-наоборот, или то что делает(делал) certpatrol - "у уже знакомого нам сертфиката изменился CA - на какого-то даркшиттер, открываем сайтец или ну его нахрен?" Для этого надо, для начала, вернуть в браузер обратно поддержку гуя операционной системы, с рисованием диалогов, а не трэш-"страниц" - страница - она занята веб-содержимым (а диалог про сертификат мог относиться к 1x1px.gif на ней или css)
Дальше больше - нормальные, а не "tls min level" настройки выбора протоколов и алгоритмов, per host, и, кстати, с нормальным доступом к per-host настройкам через опять же интерфейс, а не пиксельхантинг в букве i.
Выброс на помойку sni - опять с предуреждением пользователю - "ты шел на одессу а вышел на какую-то cloudflare - хочешь ты передать ей информацию, или лучше нафиг?"
Восстановление и расширение tls renegotiation, ликвидированной борцунами за псевдосекьюрить (после того предупреждения надо бы переинициализировать сессию - теперь уже для выяснения, а там вообще есть ли сертификат искомого сайта, опять с предупреждением пользователю, если его там вообще нет или вернули нечто странное - понадобится расширение протокола, ага, нет, меганавороты defective by design esni не нужны - шифрованный канал у нас уже есть)Чтоб взлетело в современном интернете, не для полутора фриков - его надо сперва у гугля отжать. В противном случае тот примет меры, чтоб не взлетело.
Спасибо, что расписал мысли. Я не со всем согласен, что-то не понял, но все равно спасибо.
> [туннели] руками сделаны ... без ненужного ssl-bloatware ... А где опенссл - там сразу и начинается - ой уязвимость, ой не работает то, не работает это...Туннель без openssl? Ну, наверное такие бывают... Но чаще решения для туннелей как раз используют openssl под капотом. Со всеми вытекающими уязвимостями и неработостями. Проверил вот навскидку: stunnel, vtun, openvpn - все используют openssl.
> Туннель без openssl? Ну, наверное такие бывают...ipsec, pptp - нее, не слышал? ;-) Как бы обычно этих называют первыми, а не всеми давно вроде забытый stunnel.
ну или хоть любимый админами c опеннета wireгад - там все честно, при некоторых странностях, вся шифросистема написана автором вручную и, как минимум, исходя из верных идей, так что, возможно, правильно.
Цензура в сети? Нет, это просто браузер, используйте старые версии, если они заработают. Когда бизнес манипулирует людьми, это демократия. Когда государство манипулирует, это тоталитаризм. Если бизнес и государство одновременно, это США
так оно у нас есть
curl
вот про бизнес прямо в яблочко!
А что, логично.PKI - это не техническая инфраструктура, а гуманитарная. В её основе лежат не расчёты и алгоритмы, а доверие между составными частями. Если два авторитетных мировых СМИ и транснациональная некоммерческая организация заявляют о недоверии и приводит факты, то инфраструктура доверия нарушается. Блокировка центра сертификации - простая и закономерная реакция.
Хорошо,что войны так не начинаются. Хотя постойте...
Вопрос на лицо - "Что и кому вы доверяете посредством сертификатов этих центров?"
проблема в том, что доверяет не он, а гугль. Его гугль даже не спрашивает, доверяет ли он, и тем более - что и кому конкретно.
проблема что о недоверии заявляют какие-то сми, решение принимают корпорации, а тебя (хотя именно о твоей безопастносте они все якобы заботятся) - никто не то что не спрашивает, а в браузере функционала такого не предусмотрено. Причем он там частично был, вот еще в 2012м! но за прошедшие пять лет - старательно выпилен, а уязвимостей, позволяющих за тобой подглядывать - добавлено. Все теми же корпорациями бобра, конечно же, ради заботы о тебе.Выпилить - уже нереально.
1. Функционала в браузере не предусмотрено потому что функционал это функция, заданная на произвольном множестве и имеющая числовую область значений: обычно множество вещественных чисел или комплексных чисел. Другого значения это слово не имеет.
2. У себя в системе ты волен делать с сертификатами что угодно, если хочешь, то ты можешь добавить корни мошенников в доверенные и никто тебе не помешает
3. Гугл в своем продукте делает так, как считает нужным. Создай свой продукт и делай там так, как считаешь нужным ты.
> Гугл в своем продукте делает так, как считает нужным.его продукт называется "интернет".
Нет, я не могу его "создать свой". И нет, его не гугль создавал. Но гугль его успешно подмял под себя и теперь волен навязывать любые свои поделки. Твоими, безмозглый анон, стараниями -в том числе.
Ты бредишь. Продукт из-за которого ты плачешь называется Google Chrome, это браузер такой. Один из множества браузеров. И ты можешь на своем личном компе делать со списками сертификатов что угодно, в том числе и в их браузере. И другие браузеры ты можешь использовать, и пересобрать Хромиум сделав что захочешь ты можешь. Но ты врешь, врешь постоянно, захлебываешься от ненависти к тем, кто дал тебе возможность пользоваться многим бесплатно.
> Ты бредишь. Продукт из-за которого ты плачешь называется Google Chrome
> такой. Один из множества браузеров. И ты можешь на своем личномиз двух браузеров. Внезапно, скопировавший из того, другого браузера, ничем толком не обоснованное решение за пользователей. Как они делают - _всегда_. Чтобы у пользователей не дай Бог не появилось альтернативы.
> компе делать со списками сертификатов что угодно, в том числе и
я не могу на своем личном компе выкинуть к херам списки CA и работать со списками - сертификатов. Такой возможности нет ни в хромом, ни в каком либо еще браузере, и реализовать ее - не получится без отката на версию 12го года, дописывание в нее недостающего функционала (его там нет) и догоняние всего веба с нуля (отдельно от того функционала, которого в нынешнем вебе нет).
Причем по дороге ты наткнешься на неспособность низкоуровневой библиотеки отдать тебе нужную информацию или предоставить тебе выбор, и будешь вынужден ее переписывать частями.> в их браузере. И другие браузеры ты можешь использовать, и пересобрать
для смотрения опеннета. Для смотрения всего остального - уже практически не могу, в них ничего не работает. Потому что проверяется user-agent, а если даже его подделать - непременно используются ненужно-фичи, появившиеся в самой распоследней версии гуглеподелки вчера.
Для чего-нибудь столь же великолепного, как выбор версии дерева в гитхабе. Дурацкий переключатель с предопределенными значениями, реализуемый на plain html 2.0 - но нет, макакам надо непременно модный тулкит.> Хромиум сделав что захочешь ты можешь.
нет, от пересборки хромиума он не начинает делать что я захочу. А переписать его - нужны деньги гугля, потому что для начала надо отжать у гугля возможность в каждой версии ломать веб. А потом - платить паре сотен разработчиков fulltime, потому что такие проекты не делаются в одно жало в свободное время - в чем уже убедились авторы ungoogled-chromium (который даже не уверен до конца, насколько оно на самом деле полно ungoogled) и palemoon (который хостится на том самом гитхабе который в нем не работает)
> Но ты врешь, врешь постоянно,
да, вот анончик - он несет истиную правду (точнее, транслирует прополосканными мозгами, не вникая в детали).
> захлебываешься от ненависти к тем, кто дал тебе возможность пользоваться многим
> бесплатно.мне не нужна возможность "бесплатно". У меня нет акаунта на ютубчике, втентаклике и твитере - я вполне способен эти свои надобности удовлетворить сам, и мои данные остаются - мне (уже не все - вот своим CA я быть не могу, и от засветки чужими меня и моих пользователей никуда деться тоже - если бы у тебя в голове была хоть малая толика мозгов, ты бы понял, почему)
к сожалению, я не могу предоставить эти же сервисы бесплатно (для меня они очень даже платны) всем тем, кто присылает мне ссылки на свои бесплатные твитеры, тентакли и ютубчики. А за деньги они не купят - потому что вот же ж бесплатное - и пофиг что товар - мы сами.
> захлебываешься от ненависти к тем, кто дал тебе возможность пользоваться многим бесплатно.В смысле – бесплатно разгадывать и вводить гуглокапчу в одном из двух[0] гугло-браузеров[1], чтобы доказать что я не спамбот, пришедший спамить для улучшения гугло-рейтинга проплаченной странички?
Как по мне, так довольно сомнительная возможность.—————————
[0] Если брать открытые финансовые отчеты мозиллы и комментарии к ним, то разработка красной панды до сих пор ведется в основном на средства гугла.
Да и оставшийся процент пользователей уже не располагает к гордому "Нет, этот гугло-стандарт мы запиливать не будем и сделаем свой!"
О нормальном функционировании гугло-веба в остальных браузерах можно последние года 3-4 разве что мечтать.[1] Причем, не дай Бит браузер будет затьюнен на уменьшение слежки – будешь разгадывать капчу 10 минут, а если вздумаешь зайти через прокси-анонимайзер, то вообще до посинения.
А еще каждый браузер по количеству кода даст фору ядру и фиг там уже в одиночку что-то сделаешь, кроме разве что замены копирайтов и гордости от факта самостоятельной пересборки.
> В смысле – бесплатно разгадывать и вводить гуглокапчу в одном из двух[0] гугло-браузеровну что ты, что ты - только в одном. В том, в котором по команде "удалить к чертям все куки и разлогинить отовсюду" внезапно, для твоего большего удобства, гугловые не удалялись - ты, скорее всего, эту гуглокапчу вообще не увидишь, мне гуглоразработчик лично клялся что оно так.
> А еще каждый браузер по количеству кода даст фору ядру
сравнил, тоже мне - голое ведро и операционную систему целиком! Причем голым ведром без обвязки ты даже /bin/init выполнить можешь только при многих если, а операционная система гугля выполняет целый интернет (принадлежащий, разумеется, гуглю) без посторонней помощи.
Мда. Я много Вас читаю и дело обстоит примерно так. У Вас хакнута или перегружена голова, а это реально, и Вам везде мерещатся проблемы приватности. Из всей этой кучи технологий пользователю всего то надо: просмотреть информацию о сертификате кликнув на значке адресной строки и узнать кем он подписан. Далее Вы можете просто закрыть вкладку.
а вот гугль так не считает (казалось бы, люди за которыми охотятся арабские спецслужбы, должны быть в этом плане особенно внимательны, независимо от того, одобрен ли этот конкретный CA). Почему бы это, не задумывались? Откуда такое рвение всех "защитить", причем выбором совершенно негодных средств вместо эффективных, которые, наоборот, старательно им уничтожаются (pkp, cert patrol)?Проблемы эти, к сожалению, мне не мерещатся. Я слишком хорошо знаю, что именно про вас знает гугль, поскольку работал некоторое время в компании, его успешном(!) конкуренте и партнере, и как он эту информацию умеет использовать. Да, прямых доказательств что он ее использует не только для впаривания рекламы - нет, и не будет - опять же, о внутренней системе безопасности гугля хорошо известно из первых рук.
Но что в мире существует мильен ее сборщиков и помимо гугля, и вот их - точно и заведомо НЕ интересует реклама, наоборот, они маскируют сбор информации под рекламу - опять же совершенно точно известно. ("рекламный" баннер 1x1 px очевидно не является рекламным баннером, даже если имеет все характерные признаки) Почему же гугль должен быть не в первых рядах?Неизвестно (достоверно) только одно - кто платит за весь этот балет.
Факт остаётся фактом: PKI не работает.Точнее говоря, PKI позволяет любому CA прогнуться под спецслужбы (и не только), выпустить временный сертификат, провести атаку и удалить сертификат. С вероятностью близкой к 100% никто этот сертификат не сохранит, и атака пройдёт незаметной.
// b.
Про Certificate Transparency ты не слышал, копротивляльщик мамкин? Я про каждый сертификат выпущенный для любого из моих доменов получаю письмо, все всё замечают.
>Я про каждый сертификат
> выпущенный для любого из моих доменов получаю письмо, все всё замечают.Про каждый-каждый? Точно??
Вот, скажем в соседней новости сообщают.... в .kz какой-то предприимчивый.... ээээ.... "безопасник" подписывает своим корневым "перевыпущенные" сертификаты для какгого-нибудь из твоих доменов.
И обязательно пишет тебе письмо, да-а?
Или какое-нибудь провайдерское чудо враждебной техники делает то же с помощью суб-ключа (или как там его) и.... пишет-пишет-пишет тебе письма.
Или какой-нибудь молодой да раннний фрибеседешник настраивает для локалки intercept или как там его, и.... Все они, и их сквиды!, тебе обязательно пишут.
Богатой почтовой жизьнью живёте. Однако.
ну как раз СА из списков публичных ЦА в хроме так сделать не смогут. Хром такой сертификат или не примет или его нужно будет слить в ЦТ (откуда его вы и получите, если вас интересует безопасность)... вот с тем что в KZ твориться да, там по условиям задачи надо поставить их левый корневой ЦА в систему, его нет в списках публичных ЦА, и ему необязательно (да и не получится, там не примут) сливать выписанные сертификаты в ЦТ.. тоже самое, что могут делать в копоративном секторе или антивирусы локальные. Они смогут выписывать сертификаты на все что угодно (кроме доменов гугла, тот же хром проверяет свои домены сам, работает ли гугл-ютуп в хроме в Казахстане? поидее не должен или его не митмят, возможно по незнанию, что тот работает по udp)Но точно проверяет только хром, вроде даже мозила не проверяет. Проверяют ли хромоклоны не уверен..
В общем если у пользователя хром и вы не можете пользователя заставить поставить ваш левый ЦА, то незаметно промитмить ему трафик вы не сможете, даже если вы владелец публичного ЦА...
ну как раз СА из списков публичных ЦА в хроме так сделать не смогут. Хром такой сертификат или не примет или его нужно будет слить в ЦТ (откуда его вы и получите, если вас интересует безопасность)... вот с тем что в KZ твориться да, там по условиям задачи надо поставить их левый корневой ЦА в систему, его нет в списках публичных ЦА, и ему необязательно (да и не получится, там не примут) сливать выписанные сертификаты в ЦТ.. тоже самое, что могут делать в копоративном секторе или антивирусы локальные. Они смогут выписывать сертификаты на все что угодно (кроме доменов гугла, тот же хром проверяет свои домены сам, работает ли гугл-ютуп в хроме в Казахстане? поидее не должен или его не митмят, возможно по незнанию, что тот работает по udp)Но точно проверяет только хром, вроде даже мозила не проверяет. Проверяют ли хромоклоны не уверен..
В общем если у пользователя хром и вы не можете пользователя заставить поставить ваш левый ЦА, то незаметно промитмить ему трафик вы не сможете, даже если вы владелец публичного ЦА...
Я один не понимаю чему все ринулись защищать этот убогий УЦ? Чем их меньше тем лучше.
да, должен остаться только letshitcrypt!
Ну вот, цензура от гуглемозеллы.